孙 卓，胡 勇

（空军勤务学院航材四站系，江苏 徐州 221000）

0 引言

随着科技的进步，航空装备系统的构成越来越复杂，由此带来的安全问题也越来越突出。国外航空发达国家实践表明，在研制生产阶段，积极开展系统可靠性评估工作，对提高航空装备固有可靠性水平具有重要作用。

可靠性研究的目标是提升产品的可靠性。1950 年，“可靠性之父”Lusser 开启了定量分析系统可靠性的先河。20 世纪60 年代初，Watson 等在洲际导弹设计过程中通过反复实践率先提出了故障树分析方法。随后，Hassl 和Schroder 等为故障树分析方法开发出了的应用程序，极大便利了飞机的设计工作。自此，故障树方法凭借因果关系清晰、使用便捷与定性定量结合等优点，被推广用于航空系统的可靠性评估与设计中。然而，也应该看到，传统的故障树分析方法也有其局限性。它虽然能够有效处理静态逻辑特征的系统，但是，对于表征为时序性、冗余性、相关性等动态特性的系统，处理效果并不理想。尤其是当实际系统存在不确定情况时，难以精确描述元件故障概率，使得其在应用中存在较大偏差。我国历来就非常重视航空装备系统的可靠性问题，并从理论与实践两方面进行了不懈地研究和探索。然而，由于理论基础较为薄弱，分析方法落后，在航空装备系统具体型号的发展中，尤其在军用航空领域，目前更多的是借鉴外国先进的理论和现有的做法。

为了更准确地刻画航空装备系统生产研制中出现的动态特性，在保留了静态故障树所有逻辑门的基础上，增加了专门针对系统的这种动态特性设计的动态逻辑门，旨在解决静态故障树难以描述的故障特征，并由实例验证了它的有效性。

1 动态故障树分析方法

1.1 动态故障树概述

故障树通常是指由事件（底事件、顶事件或中间事件）、逻辑门及其他符号构成的逻辑因果关系图，逻辑门是事件联系的纽带，用以刻画事件之间的某种因果关系。动态故障树保留了静态故障树的所有逻辑门（与门、或门、非门以及表决门等），增加了如表1 所示的表征动态特征的逻辑门。所增加的动态逻辑门是专门针对系统的动态特性设计的，旨在解决传统故障树难以描述的故障特征。

表1 常用动态逻辑门

1.2 动态故障树定性分析

动态故障树的定性分析可分为静态子树分析和动态子树分析。

对于静态子树，求最小割集最为重要，本文主要采用下行法求取最小割集。下行法始于故障树的顶事件，自上而下逐级进行事件的查找和运算，最终找出最小割集。

对于动态子树，通常需要借助马尔科夫模型，文献［8］给出几种动态逻辑门转换为马尔科夫模型的过程，从而得到所有的故障模式及其传播路径。

1.3 动态故障树定量分析

动态故障树的定量分析同样也分为静态子树分析和动态子树分析。

对于静态子树：假设：底事件之间相互独立；系统组件寿命函数都按指数分布。

1）静态逻辑门的结构函数

在进行静态子树定量分析时，可从简单的静态逻辑门入手。逻辑门可构成最典型的故障树结构，复杂的静态子树也由各个逻辑门组合组成。

2）通过最小割集计算顶事件的发生概率

用最小割集求顶事件发生的概率时，可以按最小割集是否相交而分为两种情况。

a）最小割集不相交

主要是指最小割集中不出现重复的底事件，并且假设在一个很短的时间间隔内，仅会发生某一个最小割集。

b）最小割集相交

主要指一个底事件同时出现在多个最小割集中，该情况在实际中较为普遍。相交情况下的算法与不相交情况下的基本相同，但需要去掉重复计算部分，即运用相容事件的方法求顶事件的发生概率。

动态子树的定量分析，同样可通过转化为对应的马尔科夫模型来求解。而在分析状态转移图时，可找出若干条状态转移链，并推导出各条链的计算公式，最终汇总相加即可得出整个顶事件发生的概率。此外，通过一定的模块化处理，如推导出各个动态逻辑门的计算公式，应用时仅需套用已知公式，综合各链结果，便能确定系统顶事件的概率函数。文献［8］研究了表1 所示动态逻辑门基于马尔科夫模型的定量分析过程。对于常见动态故障树，要实现对其量化分析，均能通过适当变换，使其转化成马尔科夫状态转移链图，根据福克-普朗克方程建立微分方程，求出系统初始状态和转移状态概率矩阵，继而通过微分方程计算出顶事件概率。

1.4 综合分析

对于以上静态子树和动态子树的量化分析过程得出的数值，还需要通过适当综合处理，求出整个动态故障树顶事件的发生概率。

设动态故障树由m 个动态子树B，B，…，B和n 个静态子树S，S，…，S构成，为处理整个动态故障树，可再将B，B，…，B和S，S，…，S视为底事件，进一步构造故障树F=F（B，B，…，B，S，S，…，S），代替原始的动态故障树F=F（x，x，…，x），构造的故障树仅含传统逻辑门，按传统静态故障树分析，即可得到整个动态故障树顶事件的故障率。

1.5 动态故障树可靠性性评估步骤

采用动态故障树对复杂系统进行可靠性评估步骤如下：

1）适航审查准则分析

在分析故障失效模式和构建故障树之前，需要研究相关适航审查准则，依据这些准则，确定适航安全性要求。

2）系统功能、原理及故障模式描述

建立动态故障树时，需要深入理清系统的功能、工作原理和工作过程，并对系统的故障模式进行系统刻画。采用诸如功能危险分析等方法，以明确顶事件。

3）确定动态故障树顶事件

动态故障树方法主要适用于复杂系统可靠性的系统级分析，在构架动态故障树之前，预先要明确顶事件，而故障模式可作为顶事件。

4）建立动态故障树

根据系统的功能和故障模式，按照一定逻辑关系，利用逻辑门描述系统故障与各子系统故障模式之间的逻辑关系，构建系统的动态故障树。

5）动态故障树分析

该过程先将动态故障树分解为多个静态子树和动态子树，然后再分别进行定性分析与定量分析，进而为系统评估提供依据。

6）得出分析结论

在定性与定量分析结果基础上，按照适航准则的有关要求，对系统可靠性水平作出判断。

2 实例分析

科学技术推动了武器装备技术的进步。新一代航空电子系统（简称“航电系统”）普遍采用模块化设计原则，系统间具有复杂的信息交互关系，大量引入冗余、可重构等设计，用以提升装备的可靠性水平。传统故障树分析方法通常难以表征采用此种设计后形成的动态特征，故本文引入了能够处理情况的动态故障树分析方法。

2.1 航电系统层次结构与功能模块设计

现代飞机是高度复杂的系统，为更好操纵飞机和交流信息，需要明确逻辑功能的层次结构。同时为便于检测故障和维修，普遍采用模块化设计。而航电系统作为其中的一个高度融合的系统，不仅需要具有严谨的功能层次结构，而且必须遵循模块化的设计原则。动态故障树作为飞机可靠性评估的重要手段，其必须遵循飞机的模块化设计。在构建动态故障树过程中，基于模块化理念，需将各个功能模块视为动态故障树的一个子树来进行分析。

1）功能层次结构

航电系统的功能层次结构是按系统的军事需求构架的一种操纵系统的组织结构，如图1 所示。

图1 航电系统的功能层次结构

图1 中，显示控制层主要展示各功能层的信息，并将操作生成控制指令；任务管理层用于控制调动各个功能层次，为当前任务提供最优服务；决策辅助层用于支撑作战决策，根据提示完成相关决策行为；综合功能层综合处理下层信息，根据当前任务协同控制；感知执行层是执行机构的集合，内部为各类传感器，直接得到环境信息。这样，就形成了自下而上的信息综合处理过程和由上向下的控制指令执行过程。在此过程中，信息愈加综合，种类和规模也愈加减小；在控制流中，指令愈加细化，种类和规模也愈加增多。

2）系统功能模块

航电系统的功能模块是指能够完成特定功能，具有统一定义的输入信息和输出信息，可独立设计、测试、部署、并进一步生成可重用的功能实体。从系统角度来说，现代航电系统可分为5 类18 个功能模块，如下页图2 所示。

图2 航电系统的功能模块

在航电系统模块化基础上，建立动态故障树，将有利于简化工作。对于各个功能模块，其故障仅影响本模块地输出，具有一定独立性，这也就为模块动态子树分析提供了条件，可单独分析，能够降低分析难度。

2.2 航电系统动态故障树构建

现代航电系统设计时，为使其结构不过于松散，并提高可靠性，大多采用基于功能模块、部件以及将它们联结成网络的模块化设计。

MIL-STD-1553B 是美军为机载设备专门建立的串行多路数据总线标准。该总线可以挂接3 种类型的设备，分别是总线监视器（BM）、远程终端（RT）和总线控制器（BC）。根据航电系统功能实现的方式，可将上述18 个功能模块归为10 类设备，分别是人机接口（DCSS）、大气数据（ADS）、惯性导航系统（INS）、系统状态（NANP）、通信导航识别（CNI）、自卫电子对抗（EW）、外挂物管理（SMS）、任务计算机（MC）、雷达（PDR）、光电雷达（OESS）。由此，可简化具有余度和层次设计的多路总线拓扑结构，如图3 所示。

图3 航电系统拓扑结构图

由图3 可看出，该航电系统有两路数据传输总线设计，分别为飞行总线和作战总线，从而实现了功能上的隔离。每路总线都是双余度总线，从而确保数据的可靠传输。主BC 位于人机接口（DCSS）中，备份BC 与外挂物管理（SMS）共用一个装置，监视总线的监视情况，并将总线不活动作为一个判断标准，继而承担总线控制功能。同时，SMS 作为全局总线上的一个RT，又是发射器局部总线的BC。

根据模块化设计原则和拓扑结构，可发现航电系统具有较大动态特性，必须采用动态故障树对其进行建模与分析。本文将航电系统失效视为顶事件，为了保证军机作战任务的顺利执行，必须保证有一个总线处理器正常、至少有一条飞行总线和任务总线正常，继而是总线上连接的各种终端设备正常。

为便于分析，可对系统作必要的简化处理。假设不考虑人的因素等其他原因，从总线、总线处理器、人机接口、本机信息系统、防御攻击系统、存储模块以及任务计算机等7 个子模块进行分析，建立动态故障树。

首先，具有动态特性的有两个子模块，分别是总线处理器模块和存储模块，需建立动态子树，其他模块建立静态子树。

1）总线处理器模块

在总线处理器模块中，仅有一个BC。SMS 作为备份BC 在DCSS 正常工作时不执行BC 功能，但是又要发挥外挂物管理的功能，在总线处理器功能上，可认为SMS 是DCSS 的冷备份，故得到总线处理器模块的子树，如图4 所示。

图4 总线处理器模块的子树

2）存储模块

在存储模块中，假设存储分系统包含两个存储单元和一个存储单元借口，但是存储单元的功能依赖于存储单元借口，当存储单元接口出现故障，所连接的存储单元变得不可用，至少一个存储单元正常工作为系统正常。此逻辑关系采用功能相关门，该存储模块的子树如图5 所示。

图5 存储模块的子树

3）其他模块

其他5 个子模块建立静态子树，其中任务计算机为不展开模块。通过以上过程，可给出航电系统的动态故障树。

2.3 航电系统动态故障树分析

2.3.1 定性分析

首先将动态子树（包含动态逻辑门）视为一个底事件，并用符号表示底事件和中间事件，如图6和表2 所示。本文通过下行法求解该动态故障树的最小割集。

表2 动态故障树中的事件及其代码

图6 航电系统动态故障树

求解最小割集的步骤如下页表3 所示。

表3 航电系统动态故障树的最小割集求解步骤

由此，可得到17 个割集，分别为：{X，X}，{X，X}，{X}，{X}，{X，X}，{X，X}，{X，X}，{X，X，X}，{X}，{X}，{X}，{X，X}，{X}，{X}，{X}，{X}，{X}。

通过运算吸收率简化以上割集，{X，X，X}被{X，X}或{X，X}或{X，X}吸收，故得到以下16个最小割集：{X，X}，{X，X}，{X}，{X}，{X，X}，{X，X}，{X，X}，{X}，{X}，{X}，{X，X}，{X}，{X}，{X}，{X}，{X}。

以下对含动态逻辑门的X和X进行分析。

X含有冷备份，B 可视为A 的备件，其马尔科夫模型为：

对于总线处理器模块，其一种故障模式为AB。

X含有功能相关门，当存储单元接口C 出现故障，系统故障，同时又含有一个与门，当两个存储单元D 和E 全部故障时也将变得不可用，其故障模式可以表示为C∪（D∩E）。

2.3.2 定量分析

本文利用最小割集求顶事件概率，在计算过程中，将动态子树视为整个故障树的一个底事件进行处理，且底事件各有其假设的失效概率，具体如表4所示。对于每一个静态子树，将不进行详细分析。

表4 航电系统各部件的故障失效率（次/h）

1）总线处理器子树定量分析

令t=1 000，则由冷备份门的状态转移式

表5 各最小割集的发生概率

根据以上定量分析过程，得到了顶事件发生的概率，继而完成航电系统的系统可靠性评估，判断其是否可以被接受，继而指导系统的设计和改进。

3 结论

探讨了动态故障树用于军用飞机系统可靠性评估的有效性和可行性，并以航空电子系统为例，分析了航空电子系统的适航审查准则要求，通过研究系统的功能模块设计和层级结构要求，构建了航电系统的动态故障树，更加准确描述其动态特性。并利用定性与定量方式，给出了更加精确的故障概率，继而说明所采用方法在军用航空器的系统可靠性评估领域具有良好前景和价值。同时，也为航电系统定型审查中的推广应用提供了思路。